Acerca del contenido de seguridad de la actualización de Safari 3 Beta 3.0.3

En este documento se describe el contenido de seguridad de la actualización de Safari 3 Beta 3.0.3, que puede descargarse e instalarse mediante las preferencias de Actualización del software, o desde las Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no divulga, debate ni confirma problemas de seguridad antes de que finalice una investigación completa y estén disponibles las revisiones o versiones necesarias para subsanar dichos problemas. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio Web sobre seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de la seguridad de los productos de Apple, consulta el artículo en el que se describe cómo usar la clave PGP de la seguridad de los productos de Apple.

Cuando es posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables para obtener más información.

Para obtener información acerca de las actualizaciones de seguridad, consulta el documento sobre las actualizaciones de seguridad de Apple.
 

Actualización de Safari 3 Beta 3.0.3

• Safari

  ID CVE: CVE-2007-3743

  Disponible para: Windows XP o Vista

  Impacto: la creación de marcadores puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario

  Descripción: hay una vulnerabilidad de desbordamiento de pila del búfer en el control de marcadores de Safari. Al inducir a un usuario a que agregue un marcador con un título demasiado largo, un atacante puede desencadenar el problema, lo que puede ocasionar una finalización inesperada de la aplicación o la ejecución de código arbitrario. En esta actualización se soluciona el problema realizando una comprobación correcta de los límites. Este problema no afecta a los sistemas Mac OS X.

• WebKit

  ID CVE: CVE-2007-2408

  Disponible para: Mac OS X v10.4.9 o posterior, Windows XP o Vista

  Impacto: la visita a un sitio web malintencionado puede permitir que se carguen y ejecuten applets de Java aunque Java esté desactivado

  Descripción: Safari proporciona una preferencia "Activar Java"; su desactivación debería evitar la carga de applets de Java. La opción predeterminada es permitir la carga de applets de Java. La visita a una página web creada con fines malintencionados puede permitir la carga de un applet de Java sin que se active la preferencia. Esta actualización soluciona el problema mediante una comprobación más estricta de la preferencia "Activar Java". Gracias a Scott Wilde por informar de este problema.

• WebKit

  ID CVE: CVE-2007-3742

  Disponible para: Mac OS X v10.4.9 o posterior, Windows XP o Vista

  Impacto: pueden usarse caracteres de aspecto similar en una URL para hacer que un sitio web suplante a otro

  Descripción: la compatibilidad con el sistema internacional de nombres de dominio (International Domain Name, IDN) y las fuentes Unicode incrustadas en Safari podrían usarse para crear una URL que contuviera caracteres de aspecto similar. Esto permitiría usar un sitio web malicioso para remitir al usuario a un sitio fraudulento pero de aspecto legítimo. Esta actualización resuelve el problema mejorando la comprobación de la validez de los nombres de dominio.

• WebKit

  ID CVE: CVE-2007-3944

  Disponible para: Mac OS X v10.4.9 o posterior, Windows XP o Vista

  Impacto: la visualización de una página web creada de manera malintencionada puede ocasionar la ejecución de código arbitrario.

  Descripción: hay desbordamientos del búfer de montones en la biblioteca Perl Compatible Regular Expressions (PCRE) usada por el motor JavaScript de Safari. Al inducir a un usuario a que visite una página web diseñada de manera malintencionada, un atacante puede desencadenar el problema, que puede ocasionar la ejecución de código arbitrario. En esta actualización se soluciona el problema mediante la validación adicional de las expresiones regulares de JavaScript. Gracias a Charlie Miller y Jake Honoroff de Independent Security Evaluators por informar de estos problemas.